A számítógépekre is lecsapott a koronavírus

​Csak idő kérdése volt, hogy a vírusírók szemet vessenek a koronavírusra. A napokban sajnos megjelent az első, számítógépeket komolyan veszélyeztető kártékony program, amely a CoronaVirus nevet kapta.
 

Az elmúlt hetekben a Biztonságportálon már számos esetben számoltunk be a koronavírussal kapcsolatos kiberbiztonsági kockázatokról. Ezek elsősorban azzal voltak kapcsolatosak, hogy a csalók a WHO nevével visszaélve spameket küldözgetnek, illetve adathalászatot folytatnak. Most azonban már megjelent az első olyan kártékony program is, amely a koronavírus után kapta a nevét. 

Egészen pontosan nem egy, hanem kettő károkozóról van szó, amelyek kéz a kézben terjednek. Az eddigi jelentések szerint a vírusírók ezúttal a WiseCleaner nevű segédprogram nevében próbálják rávenni a felhasználókat arra, hogy töltsék le a hasznos szoftvert. Csakhogy az általuk kreált, hamis oldalról nem az eredeti alkalmazás kerül fel a PC-kre, hanem egy vírusletöltésre alkalmas kis fájl. Amennyiben ezt elindítja a felhasználó, akkor a számítógépre felkerül egy file1.exe és egy file2.exe nevű fájl. Az előbbi a Kpot nevű trójait rejti, míg az utóbbi a CoronaVirus zsarolóprogramot. 

Először adatlopás

A Kpot egy olyan ártalmas program, amely adatlopásra alkalmas. A fertőzött számítógépekről képes kiszivárogtatni a webböngészők által tárolt adatokat (beleértve a hitelesítési információkat is), valamint a postafiók, VPN és FTP hozzáféréseket. A Kpot egyes esetekben online játékokhoz tartozó (például Steam, Battle.net) információkat is feltölt a támadók szervereire. 

Aztán következik a zsarolás

A Kpottal együtt érkező CoronaVirus a károkat jelentősen képes fokozni. A számítógépeken lévő dokumentumokat, képeket, multimédiás állományokat, adatbázisokat, tervrajzokat stb. titkosítja, majd váltságdíjat követel. Sok más ransomware programtól eltérően ez a szerzemény nem a fájlok kiterjesztését manipulálja, hanem a fájlneveket változtatja meg a kompromittált állományok esetében. A zsaroló üzenetében pedig 50 dollárnak megfelelő Bitcoint követel a helyreállítási információkért.

A CoronaVirus azonban ennyivel nem elégszik meg, ugyanis a regisztrációs adatbázis módosításával eléri, hogy a Windows újraindítása után egy üzenet jelenjen meg:


Forrás: MalwareHunterTeam

Ez a képernyő 45 perc után megváltozik, és egy másik szöveg jelenik meg, ami 15 perc után tűnik el. Ezt követően a Windows ismét elindul. A vírus mindezt a regisztrációs adatbázis alábbi kulcsának manipulálásával éri el:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute="[...]"

A CoronaVirus ellen naprakészen tartott víruskeresőkkel, rendszeres biztonsági mentésekkel és biztonságtudatos internetezéssel lehet leginkább védekezni.
Vélemények
 
  1. 3

    A Fortinet egy biztonsági rést foltozott be.

  2. 3

    A Nextcloud kapcsán egy biztonsági rendellenességre derült fény.

  3. 2

    ​A WastedLocker zsaroló program nagy felfordulást képest okozni a számítógépeken, és biztonsági mentések hiányában akár helyreállíthatatlan károkat is előidézhet.

 
Partnerhírek
​Az ESET kutatói felfedezték a KryptoCibule-t

Egy korábban nem ismert rosszindulatú trójai szoftvercsaládot fedeztek fel az ESET kutatói, amely kártékony torrenteken keresztül terjedve többféle trükköt is bevet annak érdekében, hogy annyi kriptovalutától fossza meg áldozatait, amennyitől csak lehetséges – mindezt észrevétlenül.

Hogyan tehetjük biztonságosabbá a TikTok fiókunkat?

​A TikTok három évvel ezelőtt robbant be a köztudatba, azóta pedig töretlen népszerűségnek örvend, hiszen mára a második legnépszerűbb social média platformmá nőtte ki magát.

hirdetés
Közösség